En 2016 (avant le rgpd) j'avais trouvé une faille sur le site de l'URSSAF. Une fois connecté, il y avait une page avec un formulaire pour récupérer les fiches de paye par mois. Ça déclenchait un javascript pour récupérer sa fiche de paye. Ça appelait une page en asp il suffisait de changer le paramètre du numéro de compte qui par défaut était celui de la personne connecté et la date pour récupérer la fiche de paye d'un autre compte. On obtenait un pdf avec le numéro de sécurité sociale, salaire adresse etc.. Je l'avais déclaré a la ANSSI.
Je comprend pas comment on peut utiliser un paramètre en url pour récupérer un code client qu’on a déjà avec des variables de session, d’utilisateur etc..
J’avais trouvé le même style de faille sur le site des chèques emploies service, tu regardais ton relevé mensuel au clic sur le lien ça faisait appel à une fonction javascript. Il suffisaient de changer le numéro de salarié et bingo t’avais un pdf avec le nom et l’adresse du travailleur le N° Sécurité sociale les références des différents employeur et les sommes perçues.
Un an après elle existe plus j’avais envoyé un email à l’ANSSI mais pendant 6 mois elle était toujours la.
En plus quand tu reçois leur réponse tu regrette de l’avoir signalé.
Bonjour,L’ANSSI vous remercie pour ces informations.Nous allons procéder à des opérations techniques de vérification mais nousattirons votre attention sur les risques juridiques ou techniques qui peuventêtre liés à la recherche de vulnérabilités.
Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas complètement de votre responsabilité pénale. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (S.T.A.D.) demeure passible de sanctions pénales prévues aux articles 323-1 et suivants du Code pénal
La recherche de vulnérabilités, même si elle n'est pas techniquement intrusive, peut potentiellement entraîner des effets secondaires et endommager un S.T.A.D.
Nous allons procéder à des opérations techniques de vérification mais nous attirons votre attention sur les risques juridiques ou techniques qui peuvent être liés à la recherche de vulnérabilités.
Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas complètement de votre responsabilité pénale. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (S.T.A.D.) demeure passible de sanctions pénales prévues aux articles 323-1 et suivants du Code pénal
La recherche de vulnérabilités, même si elle n’est pas techniquement intrusive, peut potentiellement entraîner des effets secondaires et endommager un S.T.A.D.
Cordialement
Bureau réponse aux Incidents
ANSSI/COSSI/CERT-FR
Agence nationale de la sécurité des systèmes d’information
Centre opérationnel de la sécurité des systèmes d’information.
j’ai eu le cas ou un extrait d’une de mes vidéo sur Youtube avait été utilisé par France 2 et M6 pour illustrer un fait divers.Mon visage avait été flouté à l’antenne. J’avais envoyé des réclamations à France2 et M6, france 2 m’avait répondu en versions courte:
“Par ailleurs, vous avez posté cette vidéo personnelle sur Youtube, donc accessible à tous. Aussi, au titre du droit à l’information, nous pouvions en diffuser un extrait, du moment que nous floutions la personne. Dans ces conditions, la diffusion de la vidéo était légitime et nous regrettons donc de ne pouvoir faire droit à votre demande de retrait”
Pour illustrer sa leçon de science, un professeur américain a congelé un poisson vivant en le plongeant dans de l’azote liquide. L’animal a survécu à l’expérience.
ouf ! heureusement que tu le dis, j’ai failli me faire avoir " />
Ben c’est ce que j’avais dis à la première news qui parlait d’un même fait.
La seule différence avec aujourd’hui c’est qu’au temps de Jackass, seul une petite partie de la population avait accès aux vidéos (ceux qui les cherchaient).
Maintenant en mettant ce genre ce “prouesse” sur FB ou autre, ce sont des millions d’abrutis qui vont se dire “put… et si je faisais pareil pour faire le BUZZZ” " />
Quand même à l’époque comme tu dis Jackass ça passait sur MTV .
Même si je cautionne pas le geste,il y a 2 poids 2 mesure..
Obélix : Les Wisigoths, c’est des Goths de l’est ?
Astérix : Non, les Wisigoths sont des Goths de l’ouest, les Goths de l’est, c’est des Ostrogoths, mais les Goths de l’ouest habitent à l’est par rapport à nous. Tu as compris ?
22 commentaires
Modifié le 28/07/2025 à 10h39
Une fois connecté, il y avait une page avec un formulaire pour récupérer les fiches de paye par mois. Ça déclenchait un javascript pour récupérer sa fiche de paye. Ça appelait une page en asp il suffisait de changer le paramètre du numéro de compte qui par défaut était celui de la personne connecté et la date pour récupérer la fiche de paye d'un autre compte. On obtenait un pdf avec le numéro de sécurité sociale, salaire adresse etc.. Je l'avais déclaré a la ANSSI.
Le 05/06/2023 à 14h33
I don’t believe in a lot of things, but I do believe in duct tape.
YouTube
Le 06/07/2018 à 07h42
Le réflexe du matin.
Le 19/11/2017 à 08h13
Pour les 20 ans de l’école du micro d’argent
YouTube
Le 04/03/2017 à 15h18
Je comprend pas comment on peut utiliser un paramètre en url pour récupérer un code client qu’on a déjà avec des variables de session, d’utilisateur etc..
J’avais trouvé le même style de faille sur le site des chèques emploies service, tu regardais ton relevé mensuel au clic sur le lien ça faisait appel à une fonction javascript. Il suffisaient de changer le numéro de salarié et bingo t’avais un pdf avec le nom et l’adresse du travailleur le N° Sécurité sociale les références des différents employeur et les sommes perçues.
Un an après elle existe plus j’avais envoyé un email à l’ANSSI mais pendant 6 mois elle était toujours la.
En plus quand tu reçois leur réponse tu regrette de l’avoir signalé.
Bonjour,L’ANSSI vous remercie pour ces informations.Nous allons procéder à des opérations techniques de vérification mais nousattirons votre attention sur les risques juridiques ou techniques qui peuventêtre liés à la recherche de vulnérabilités.
Cordialement
Le 26/01/2017 à 19h09
Bonjour,
L’ANSSI vous remercie pour ces informations.
Nous allons procéder à des opérations techniques de vérification mais nous attirons votre attention sur les risques juridiques ou techniques qui peuvent être liés à la recherche de vulnérabilités.
Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas complètement de votre responsabilité pénale. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (S.T.A.D.) demeure passible de sanctions pénales prévues aux articles 323-1 et suivants du Code pénal
La recherche de vulnérabilités, même si elle n’est pas techniquement intrusive, peut potentiellement entraîner des effets secondaires et endommager un S.T.A.D.
Cordialement
Bureau réponse aux Incidents
ANSSI/COSSI/CERT-FR
Agence nationale de la sécurité des systèmes d’information
Centre opérationnel de la sécurité des systèmes d’information.
Et la faille est toujours là.
Le 18/06/2015 à 17h13
J’ai un doute car la puissance électrique de l’USB 3 est supérieure il faut peut être plusieurs câble pour l’USB 2.
Le 09/06/2015 à 07h20
Le 06/05/2015 à 16h04
On vas pouvoir acheter des jeux sur Steam uk ?
Le 05/05/2015 à 07h28
Vous savez si pour Outlook le moteur de rendu est toujours celui de word ?
Le 28/01/2015 à 15h37
j’ai eu le cas ou un extrait d’une de mes vidéo sur Youtube avait été utilisé par France 2 et M6 pour illustrer un fait divers.Mon visage avait été flouté à l’antenne. J’avais envoyé des réclamations à France2 et M6, france 2 m’avait répondu en versions courte:
“Par ailleurs, vous avez posté cette vidéo personnelle sur Youtube, donc accessible à tous. Aussi, au titre du droit à l’information, nous pouvions en diffuser un extrait, du moment que nous floutions la personne. Dans ces conditions, la diffusion de la vidéo était légitime et nous regrettons donc de ne pouvoir faire droit à votre demande de retrait”
Le 24/12/2014 à 16h25
Tu veux qu’il naisse sur mars ?
Le 08/08/2014 à 13h49
En même temps il a un retour sur le jeux le poisson ?
Le 24/07/2014 à 12h12
Et ça c’est de la science alors
Pour illustrer sa leçon de science, un professeur américain a congelé un poisson vivant en le plongeant dans de l’azote liquide. L’animal a survécu à l’expérience.
En savoir plus: http://www.gentside.com/insolite/un-professeur-plonge-un-poisson-dans-de-l-azote-liquide_art30259.html
Le 24/07/2014 à 08h48
Le 24/07/2014 à 06h50
Jackass l’avait fait à l’époque mais comme ça passe a la télé on ne dit rien ?
http://welcome-to-jackass.skyrock.com/1244537976-15-Le-poisson-rouge.html
Le 23/05/2014 à 13h53
Non pour 300 000 vue tu es dans les 300 euros il serait a 1 000 000 de vue je ne dis pas.
Le 11/12/2013 à 08h12
Et directement par l’ip ça serait possible ?
Le 24/10/2013 à 14h30
Ca ne bloque apparemment plus sous Firefox en effet. Sous Chrome en direct non plus, reste le cas du moteur de recherche de Google
Chrome en direct ça bloque chez moi.
Le 18/10/2013 à 14h37
Il annoncent des bon résultats et pourtant le titre perd 11% à l’heure actuel en bourse.
Le 17/01/2013 à 12h47
Obélix : Les Wisigoths, c’est des Goths de l’est ?
Astérix : Non, les Wisigoths sont des Goths de l’ouest, les Goths de l’est, c’est des Ostrogoths, mais les Goths de l’ouest habitent à l’est par rapport à nous. Tu as compris ?
Obélix : Non !
Le 16/11/2012 à 12h42
C’est super et la limitation d’écoute des morceaux a sauté en ligne par rapport a l’application